皆さんの目から、情報セキュリティの情勢は現在どのように見えていますか?2015年から2016年にかけて大流行した標的型攻撃、2017年5月に最大級の被害を世界中にもたらしたランサムウェア「Wanna Cry」など大規模なサイバー攻撃が発生していないことから、情報セキュリティの情勢や回復に向かっているのではないか、と考える方も多いようです。
しかし実際は違います。サイバー攻撃の深化はとどまるところを知りませんし、現在でも世界中であらゆる企業がその餌食になっています。最近では大企業や中小企業の規模に関係なくサイバー攻撃の被害を受けており、「サプライチェーン攻撃」への警戒も最大限高めるようにと情報セキュリティ各機関が呼びかけています。
サプライチェーン攻撃とは、企業間取引における信頼の輪を利用し、脆弱性が残る企業からその攻撃範囲をサプライチェーン全体に広げていくサイバー攻撃です。こうした悪質極まりないサイバー攻撃に対して、企業にはあらゆる情報セキュリティ対策が求められています。
ご存知の通り、ストレージは企業にとっての資産が蓄えられている金庫のようなものです。そのデータを守るために必要なことは多数ありますが、本稿ではその中でも特に重要な「ストレージ暗号化」について解説します。
ストレージ暗号化はなぜ必要なのか?
そもそも「暗号化」とは、元となるデータに対して特別な処理を施すことで、別のデータに変換する処理のことを指します。一方、暗号化されたデータを元に戻す処理を「復号化」といいます。
その仕組みを簡単に解説しますと、暗号アルゴリズム(暗号化を行う処理のこと)によって「Hello」というデータを暗号化し、「123abc45」という暗号データを得たと仮定します。それと同時に、復号化のための「鍵」が発行されます。鍵は暗号化や復号化を行う際のパラメーターのようなもので、鍵が無ければ暗号データの復号化は行えません。この鍵を第三者に知られてしまうと、暗号化したデータも簡単に復号化されてしまいます。
では、ストレージになぜこうした暗号化が必要になるのでしょうか?ストレージとは主にデータを保存するための装置であり、管理するデータには機密情報が多分に含まれています。そのうちの一部でも漏洩してしまえば、情報セキュリティ事件として扱われ企業の社会的信用の失墜や、大きな経済的損失につながります。
そうした最悪の事態を避けるためにストレージ暗号化が欠かせません。
たとえば、サイバー攻撃によってストレージ内部のデータが抜き取られたとしても、データが暗号化されていれば機密情報の中身まで覗かれることがないため、実害を防ぐことができます。あるいは、第三者によってディスクドライブが抜き取られて別のストレージ装置でデータを読み込もうとしても、暗号化によって解読は不可能になっているため、これも実害を防ぐことができます。
サイバー攻撃や内部不正による情報漏洩という脅威は日常的に付きまとっているものなので、企業は自信が運用しているストレージ対してデータ暗号化を実施し、機密情報を保護するという情報セキュリティ対策が欠かせません。
ストレージ暗号化の手法と鍵管理について
多くのストレージ製品は、データ暗号化のために「自己暗号化ドライブ」を搭載しています。これは、単体のディスクドライブの制御基板上に、暗号化処理を行うための専用ICチップと暗号化鍵、認証鍵を内蔵しているものです。そのため、ディスクドライブ内部で暗号化と復号化の処理を実施することが可能であり、ストレージコントローラーに暗号化処理の負荷を与えないため、暗号化処理をしないデータ処理と同じ性能でストレージを操作できます。
そして、暗号化方式として一般的に採用されているのが「AES256bit方式(AES256)」です。AESとは「Advanced Encryption Standard(アドバンスド・エンクリプション・スタンダード)」といって、米国立標準技術研究所(NIST)によって制定された暗号化方式です。
AESは2000年に、それまで標準的な暗号化方式だったDES(Data Encryption Standard:データ・エンクリプション・スタンダード)に替わる新しい暗号化方式として米国標準規格になっています。共通鍵暗号方式であり、使用する暗号かぎが128bit、192bit、256bitの3種類があります。このうち最長の256bitを採用するAES256は、2019年現在でも最も堅固な暗号化方式の1つとして採用されています。AESのデータ暗号化の流れは次のようになります。
- 入力データの分割
- ビットやバイト変換/演算
- シフト演算
- 乗除演算
以上1~4までの処理を鍵長ごとに、決められて回数を繰り返し処理します。ちなみに鍵長が256bitの場合、14回この処理を繰り返すことになります。
自己暗号化ドライブを使用する場合は認証鍵が必要になります。通常は外部の鍵管理サーバーに格納されており、外部鍵管理サーバーへはSSL接続を行い、認証鍵の格納及び取得を実施します。さらに、ストレージシステムと鍵管理サーバー間の通信には「KMPI(key Management Interoperability Protocol)」を使用し、要求に応じてあらかじめ許可されているシステムにのみ認証鍵を提供します。
これにより、ディスクドライブを他のストレージ装置に移動させたとしても、認証鍵が合わないため暗号化されたデータの解読は不可能になります。
[RELATED_POSTS]
ストレージ暗号化のメリット
ストレージ暗号化によって、企業は次のようなメリットを享受できると想定されています。
1.ディスクドライブの盗難時・紛失時のデータ保護
第三者によってディスクドライブが盗難されたり、紛失してしまった場合でもストレージ暗号化が実施されていればデータにアクセスすることができません。ディスクドライブの認証とロック解除には認証鍵が必要であり、これがないとデータの読み書きを試みてもエラーメッセージが返されるだけです。
2.ストレージベンダーに返却する場合のデータ保護
ストレージ装置をベンダーに返却する場合は、ストレージ暗号化を使用することでベンダーでも認証鍵が分からない状態にできるため、データの読み取りが不可能になります。完全消去を実行してストレージベンダーに変更した場合は、暗号化鍵が新しい不明な鍵に変更されるため、それ以降の読み取りを施行するとランダムデータが生成されます。
3.ストレージ暗号化の機能を使用してディスクドライブを永久に使用できない状態にする
特定のストレージ装置ではコマンドを使用してディスクドライブを「End of life」状態に設定することができ、永続的に使用できない状態にできます。
企業の情報セキュリティ環境を強化するためには、あらゆる視点から対策を実施し、サイバー攻撃や内部不正の付け入るスキを無くすことが大切です。昨今のストレージ装置は多様な情報セキュリティ機能を備えているため、情報セキュリティ環境を大幅に強化することが可能です。皆さんのストレージ環境でも、この機会にストレージ暗号化を主体として情報セキュリティ対策を実施していきましょう。
NetAppの暗号化
NetAppでは、情報漏洩からの保護を実現するデータ暗号化ソリューション(NVE/NSE /OKM) を提供しています。NVE(NetApp Volume Encription)は、ソフトウェアベースのAES-256準拠の保存データを暗号化します。NetApp Storage Encryption(NSE)では、ストレージ効率やパフォーマンスを損なうことなく、 フルディスク暗号化を実現します。また、キー管理ソリューション であるOKMを用いれば外部キー管理ソフトウェアや アプライアンスなどと連携しシンプルな構成を実現します。これらの機能はNetAppのデータ管理を担う中核OSであるONTAPに搭載されています。
